Les appels vidéo se sont largement répandus après le début de la pandémie de COVID-19, et ils restent une alternative populaire aux réunions en face à face. Les plateformes et les utilisateurs ont rapidement surmonté les problèmes initialement rencontrés et ont appris à prendre des mesures de sécurité de base lorsqu’ils organisent des vidéoconférences. Cela dit, de nombreux participants se sentent encore mal à l’aise à l’idée qu’ils puissent être enregistrés et écoutés en permanence en ligne. Zoom Video Communications, Inc. a récemment dû s’expliquer sur sa nouvelle politique de confidentialité, selon laquelle tous les utilisateurs de la visioconférence Zoom accordent à l’entreprise le droit d’utiliser n’importe lesquelles des données de leur conférence (enregistrements vocaux, vidéo, transcriptions) à des fins de formation de l’IA. Les utilisateurs de Microsoft Teams dans de nombreuses organisations savent bien que l’activation de l’enregistrement implique également l’activation de la transcription et que l’IA enverra même un récapitulatif aux abonnés Premium. Pour ceux qui discutent de secrets lors d’appels vidéo (par exemple dans l’industrie de la télémédecine) ou qui éprouvent tout simplement peu de sympathie pour Big Tech Brother, il existe des outils de conférence moins connus, mais beaucoup plus privés.
De quoi peut-on se protéger ?
Soyons clairs : les conseils ci-dessous ne vous protégeront pas contre l’espionnage ciblé, l’enregistrement secret d’un appel par un participant, les canulars ou les invités non sollicités qui se joindraient à l’appel par des liens divulgués. Nous avons déjà fourni quelques conseils de sécurité applicables aux vidéoconférences, qui peuvent contribuer à réduire ces risques. Il est tout aussi important de protéger l’ordinateur et le smartphone de chaque participant au moyen d’une cybersécurité complète, comme Kaspersky Premium.
Nous nous concentrons ici sur d’autres types de menaces, comme les fuites de données de la plateforme de vidéoconférence, l’utilisation abusive des données d’appel par la plateforme et la collecte d’informations biométriques ou du contenu des conférences. Il existe deux solutions techniques possibles : (i) héberger la conférence entièrement sur les ordinateurs et les serveurs des participants, ou (ii) chiffrer la conférence, de sorte que même les serveurs hôtes n’aient pas accès au contenu de la réunion. Cette dernière option est connue sous le nom de chiffrement de bout en bout, ou E2EE.
Signal : un outil de base pour les appels en petits groupes
Nous avons décrit à plusieurs reprises Signal comme l’une des applications de messagerie instantanée privée les plus sécurisées du marché, mais les appels Signal sont également protégés par le chiffrement E2EE. Pour organiser un appel, vous devez créer un groupe de discussion, ajouter les personnes que vous souhaitez appeler et appuyer sur le bouton d’appel vidéo. Les appels vidéo de groupe sont limités à 40 participants. Certes, vous ne bénéficiez d’aucune fonctionnalité pratique, comme l’enregistrement des appels, le partage d’écran ou les invitations à la liste de contacts de l’entreprise. En outre, vous devrez créer un groupe distinct pour chaque réunion, ce qui ne pose pas de problème pour les appels réguliers avec les mêmes personnes, mais qui devient plus contraignant si les participants changent à chaque fois.
WhatsApp et Facetime : tout aussi simples, mais pas sans problèmes
Ces deux applications sont conviviales et populaires, et toutes deux prennent en charge le chiffrement E2EE pour les appels vidéo. Elles partagent tous les inconvénients de Signal, en y ajoutant quelques-uns qui leur sont propres : WhatsApp appartient à Meta, ce qui constitue pour beaucoup un risque pour la vie privée, et les appels Facetime ne sont accessibles qu’aux utilisateurs d’Apple.
Jitsi Meet : vidéoconférence privée auto-hébergée
La plateforme Jitsi est un bon choix pour les réunions à grande échelle, complètes, mais toujours privées. Elle peut être utilisée pour organiser des réunions avec des dizaines ou des centaines de participants, pour le partage d’écran, les discussions et les sondages, la coédition de notes, et bien d’autres choses encore. Jitsi Meet prend en charge le chiffrement E2EE, et la conférence elle-même est créée au moment où le premier participant se joint et s’autodétruit lorsque le dernier se déconnecte. Aucune discussion, aucun sondage, ni aucun autre contenu de conférence n’est enregistré. Enfin, Jitsi Meet est une application open source.
Bien que la version publique puisse être utilisée gratuitement sur le site Internet de Jitsi Meet, les développeurs recommandent fortement aux organisations de déployer leur propre serveur Jitsi. Pour ceux qui préfèrent éviter de créer un serveur, il est possible d’obtenir un hébergement payant auprès de Jitsi ou des principaux fournisseurs d’hébergement.
Matrix et Element : tout type de communication — entièrement chiffré
Le protocole ouvert Matrix pour les communications chiffrées en temps réel et les applications qu’il gère, comme Element, sont un système assez puissant qui prend en charge les discussions individuelles, les groupes privés et les grands canaux de discussion publics. L’apparence de Matrix ressemble à Discord, à Slack et à leur prédécesseur, IRC, plus qu’à toute autre chose.
La connexion à un serveur public Matrix se déroule un peu comme l’obtention d’une nouvelle adresse email : vous choisissez un nom d’utilisateur, vous l’enregistrez auprès de l’un des serveurs disponibles et vous recevez une adresse Matrix formatée sous la forme @user:server.name. Celle-ci vous permet de communiquer librement avec d’autres utilisateurs, y compris ceux qui sont enregistrés sur d’autres serveurs.
Même un serveur public permet de créer facilement un espace privé sur invitation seulement, avec des discussions thématiques et des appels vidéo.
Les paramètres d’Element sont légèrement plus complexes, mais vous disposez de plus d’options de personnalisation : visibilité des discussions, niveaux d’autorisation, etc. Matrix/Element est la solution idéale si vous souhaitez que les communications au sein de l’équipe se déroulent sous différents formats, comme des discussions ou des appels, et qu’elles portent sur des sujets variés plutôt que sur quelques appels isolés. Si vous souhaitez simplement organiser un appel de temps en temps, Jitsi fonctionne mieux – la fonction d’appel d’Element utilise d’ailleurs le code Jitsi.
Il est conseillé aux entreprises d’utiliser l’édition entreprise d’Element, qui offre des outils d’administration avancés ainsi qu’une assistance complète.
Zoom : le chiffrement pour les obstinés
Peu de gens savent que Zoom, le service de visioconférence dominant, propose également une option de chiffrement E2EE. Jusqu’à récemment, pour pouvoir bénéficier de cette fonctionnalité, il vous fallait acquérir une licence pour grandes réunions, qui vous permet d’accueillir 500 ou 1 000 participants pour un montant compris entre 600 et 1 080 dollars par an. Mais désormais, même les utilisateurs du forfait gratuit peuvent l’activer.
Cela dit, vous ne trouverez pas une telle option dans le client Zoom. Pour activer le chiffrement E2EE, vous devez vous connecter sur le site de Zoom, accéder au panneau de configuration de votre compte et naviguer jusqu’à la section Paramètres → Sécurité. Vous pouvez activer ou désactiver le paramètre Autoriser l’utilisation du chiffrement de bout en bout. Pour activer ce paramètre, vous devez fournir votre numéro de téléphone et l’associer à votre compte Zoom. Un code de confirmation sera envoyé à ce numéro, qui sera visible par vos contacts Zoom.
Une fois que vous avez activé le chiffrement E2EE, une option pour sélectionner le type de chiffrement par défaut, Étendu ou De bout en bout, s’affichera en dessous. Personne ne sait pourquoi Zoom appelle son chiffrement de base » étendu « . Du point de vue de la sécurité, ce système est nettement moins performant que le chiffrement de bout en bout. Si l’option De bout en bout est sélectionnée, elle sera utilisée par défaut dans les conférences que vous organisez, mais pas nécessairement dans celles que vous rejoignez en tant qu’invité. La méthode de chiffrement est laissée à l’appréciation de l’organisateur de la conférence. Pour vérifier quel chiffrement est utilisé pendant la conférence en cours, cliquez sur l’icône du cadenas dans le coin supérieur gauche de la fenêtre.
Selon le site Internet de Zoom, l’activation du chiffrement E2EE pour une réunion désactive la plupart des fonctionnalités courantes, comme l’enregistrement dans le cloud, la numérotation, les sondages, etc.